SAA-C03 Q474 · Security

Question

한 회사가 Amazon EC2 인스턴스에서 실행되는 여러 웹 서버를 사용하는 웹 애플리케이션을 보유하고 있습니다. 이러한 인스턴스는 공유 Amazon RDS for MySQL 데이터베이스를 사용합니다. 회사는 데이터베이스 자격 증명을 안전하게 저장하는 방법을 필요로 합니다. 자격 증명은 애플리케이션 가용성에 영향을 주지 않고 30 일마다 자동으로 갱신되어야 합니다. 다음 중 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

**요구사항 정리:**
1. 데이터베이스 자격 증명을 **안전하게** 저장
2. **30일마다 자동 갱신**
3. 애플리케이션 **가용성에 영향 없음**

**A가 모든 요구사항을 충족하는 이유:**

1️⃣ **안전한 저장**: AWS Secrets Manager는 자격 증명 저장을 위해 설계된 전용 서비스. AWS KMS로 저장 시 자동 암호화됨

2️⃣ **자동 갱신**: Secrets Manager는 **RDS와 네이티브 통합**되어 Lambda 기반 자동 로테이션을 기본 제공함. 30일 주기 설정 가능

3️⃣ **가용성 무영향**: Secrets Manager의 로테이션은 DB 비밀번호를 변경하고 → 새 비밀번호를 저장한 뒤 → 테스트까지 수행하는 멀티 스텝 프로세스. 애플리케이션은 항상 GetSecretValue API로 최신 자격 증명을 가져오므로 가용성 영향 없음

4️⃣ **IAM 권한**: EC2 인스턴스에 IAM Role을 부여하여 Secrets Manager에 접근 → 코드에 하드코딩 불필요

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁